← Diana/ Privacy Policy

Informativa sulla Privacy

Ultimo aggiornamento: 9 aprile 2026

1. Titolare del trattamento

Luca Bellipanni
Roma, Italia
Email: info@meetdiana.tech

2. Cos'è Diana

Diana è un servizio di segretaria virtuale basato su intelligenza artificiale. Aiuta professionisti e studi a gestire email in arrivo, calendario e comunicazioni con i propri clienti. Le risposte inviate ai clienti possono essere generate, in tutto o in parte, da un sistema di intelligenza artificiale sotto la supervisione dell'utente.

Trasparenza AI: Diana è un sistema di intelligenza artificiale. Le email e i messaggi elaborati vengono analizzati da modelli di linguaggio (LLM) per generare risposte, classificare comunicazioni e gestire appuntamenti. L'utente mantiene il controllo e può approvare, modificare o rifiutare qualsiasi azione prima che venga eseguita.

3. Dati che raccogliamo

Dato	Fonte	Finalità
Email (contenuto, allegati, metadati)	Gmail API	Triage, risposta, archiviazione
Eventi calendario	Google Calendar API	Gestione appuntamenti
Nome e indirizzo email	Google Profile	Identificazione account
Messaggi WhatsApp	WhatsApp Business API	Canale di comunicazione owner
Messaggi web app	Interfaccia Diana	Canale di comunicazione owner
Configurazioni studio	Inserimento utente	Personalizzazione del servizio
Rubrica contatti	Inserimento utente / email	Identificazione interlocutori

4. Base giuridica del trattamento

I dati personali vengono trattati ai sensi dell'Art. 6 del GDPR:

Esecuzione del contratto (Art. 6.1.b) — il trattamento è necessario per fornire il servizio Diana richiesto dall'utente
Consenso esplicito (Art. 6.1.a) — per l'accesso ai dati dell'account Google tramite OAuth 2.0, concesso attraverso la schermata di autorizzazione Google
Legittimo interesse (Art. 6.1.f) — per la sicurezza del servizio, la prevenzione di abusi e il miglioramento della qualità

5. Come utilizziamo i dati

Classificare e rispondere alle email in arrivo secondo le istruzioni dell'utente
Gestire appuntamenti e calendario
Notificare l'utente di messaggi che richiedono attenzione
Costruire un profilo contestuale dei contatti dello studio per migliorare le risposte
Generare bozze di risposta sottoposte ad approvazione dell'utente

Non vendiamo, condividiamo o cediamo i tuoi dati a terze parti per finalità di marketing o profilazione commerciale.

6. Elaborazione tramite intelligenza artificiale

Il contenuto delle email, dei messaggi WhatsApp e delle comunicazioni gestite da Diana viene inviato a modelli di linguaggio (LLM) forniti da Anthropic (Claude) per:

Classificazione e triage delle email in arrivo
Generazione di bozze di risposta
Estrazione di informazioni su appuntamenti
Sintesi e riassunto delle comunicazioni

Questo significa che il contenuto delle tue email e comunicazioni viene trasmesso ai server di Anthropic per l'elaborazione. Anthropic non utilizza i dati inviati tramite API per addestrare i propri modelli, come specificato nella loro informativa privacy.

7. Decisioni automatizzate (Art. 22 GDPR)

Diana effettua le seguenti operazioni automatizzate:

Triage automatico: le email vengono classificate automaticamente per priorità e tipologia
Filtro spam/irrilevanti: alcune email possono essere archiviate automaticamente
Risposte autonome: per email a bassa complessità, Diana può inviare risposte senza approvazione preventiva, secondo le regole configurate dall'utente

L'utente ha il diritto di:

Ottenere l'intervento umano su qualsiasi decisione automatizzata
Contestare una decisione e esprimere la propria opinione
Disattivare le risposte autonome in qualsiasi momento
Accedere al log di tutte le azioni eseguite da Diana

8. Sub-responsabili del trattamento

Servizio	Fornitore	Sede	Funzione	Garanzie
LLM / AI	Anthropic, PBC	USA	Elaborazione linguaggio naturale del contenuto email e messaggi	SCCs; dati API non usati per training
Hosting	Railway Corp.	USA	Hosting applicazione, database, Redis	SCCs
Email API	Google LLC	USA	Accesso Gmail e Calendar	DPA Google; SCCs; EU-US DPF
WhatsApp API	Meta Platforms Inc.	USA/UE	Canale WhatsApp	DPA Meta; SCCs
DNS	Cloudflare Inc.	USA/UE	DNS e protezione dominio	SCCs

9. Trasferimento dati extra-UE

Alcuni sub-responsabili hanno sede negli Stati Uniti. Il trasferimento è effettuato sulla base di:

EU-US Data Privacy Framework — per i fornitori certificati (Google)
Standard Contractual Clauses (SCCs) — clausole contrattuali tipo approvate dalla Commissione Europea

Verifichiamo periodicamente che le garanzie dei sub-responsabili siano adeguate.

10. Conservazione dei dati

Tipo di dato	Periodo di conservazione
Email elaborate e metadati	Durata del servizio + 30 giorni dopo la cessazione
Memoria contestuale (contatti, preferenze)	Durata del servizio; cancellata alla cessazione
Token OAuth Google	Fino a revoca o cessazione del servizio
Log di sistema e audit	12 mesi dalla generazione
Dati di fatturazione	10 anni (obbligo fiscale italiano)

Alla cessazione del servizio, l'utente può richiedere l'esportazione dei propri dati prima della cancellazione.

11. Sicurezza

Crittografia in transito (TLS 1.2+) per tutte le comunicazioni
Autenticazione tramite OAuth 2.0 con token cifrati
Isolamento dei dati tra tenant (architettura multi-tenant)
Accesso ai dati limitato al solo titolare del trattamento
Backup cifrati con retention limitata

12. Violazione dei dati (Data Breach)

In caso di violazione dei dati personali che presenti un rischio per i diritti e le libertà degli interessati:

Notificheremo il Garante per la protezione dei dati personali entro 72 ore dalla scoperta
Informeremo gli utenti interessati senza ingiustificato ritardo se il rischio è elevato
Documenteremo l'incidente e le misure adottate

13. I tuoi diritti (GDPR)

Ai sensi degli Artt. 15-22 del GDPR, hai diritto di:

Accesso (Art. 15) — ottenere copia dei tuoi dati personali
Rettifica (Art. 16) — correggere dati inesatti o incompleti
Cancellazione (Art. 17) — richiedere la cancellazione dei tuoi dati
Limitazione (Art. 18) — limitare il trattamento in determinate circostanze
Portabilità (Art. 20) — ricevere i tuoi dati in formato strutturato e leggibile
Opposizione (Art. 21) — opporti al trattamento basato su legittimo interesse
Opposizione alle decisioni automatizzate (Art. 22) — richiedere intervento umano
Revoca del consenso — in qualsiasi momento, senza pregiudicare il trattamento precedente

Per esercitare i tuoi diritti: info@meetdiana.tech. Risponderemo entro 30 giorni.

Per revocare l'accesso di Diana al tuo account Google: myaccount.google.com/permissions.

Hai diritto di presentare reclamo al Garante per la protezione dei dati personali.

14. Modifiche a questa informativa

In caso di modifiche sostanziali, ne daremo comunicazione tramite email o notifica nell'applicazione. La data di ultimo aggiornamento è indicata in cima al documento.

Contatti

Per qualsiasi richiesta relativa alla privacy: info@meetdiana.tech

Luca Bellipanni — Roma, Italia